Sobre migrações entre IdPs e locatários
Ao usar Enterprise Managed Users, talvez seja necessário migrar sua empresa para um novo locatário no seu IdP ou para um sistema de gerenciamento de identidades diferente. Por exemplo, pode estar tudo pronto para fazer a migração de um ambiente de teste para o ambiente de produção ou sua empresa pode decidir usar um novo sistema de identidades.
Antes de migrar para uma nova configuração de autenticação e provisionamento, revise os pré-requisitos e as diretrizes de preparação. Quando estiver tudo pronto para migrar, desabilite a autenticação e o provisionamento para sua empresa e, em seguida, reconfigure ambos. Não é possível editar a configuração existente para autenticação e provisionamento.
Pré-requisitos
- Quando você começou a usar GitHub Enterprise Cloud, você deve ter optado por criar um empresa com usuários gerenciados. Para obter mais informações, confira "Escolher um tipo de empresa para o GitHub Enterprise Cloud".
- Revise e reconheça os requisitos de integração com Enterprise Managed Users a partir de um sistema de gerenciamento de identidades externo. Para simplificar a configuração e o suporte, use um único IdP parceiro para uma integração descomplicada. Como alternativa, você pode configurar a autenticação usando um sistema que adere aos padrões SAML (Security Assertion Markup Language) 2.0 e SCIM (Sistema de Gerenciamento de Usuários entre Domínios) 2.0. Para saber mais, confira Sobre os Enterprise Managed Users.
- Você já deve ter configurado a autenticação e o provisionamento do SCIM para a empresa.
Preparar a migração
Para migrar para uma nova configuração para autenticação e provisionamento, você deve primeiro desabilitar a autenticação e o provisionamento da empresa. Antes de desabilitar a configuração existente, leve em conta as seguintes considerações:
-
O GitHub restaurará os registros SCIM associados às contas de usuário gerenciadas da sua empresa. Antes da migração, determine se os valores do atributo
userName
SCIM normalizado permanecerão os mesmos para seus dados das contas de usuário gerenciadas no novo ambiente. Para saber mais, confira Considerações de nome de usuário para autenticação externa.- Se os valores do
userName
SCIM normalizado permanecerem os mesmos após a migração, você poderá concluir a migração por conta própria. - Se os valores do
userName
SCIM normalizado forem alterados após a migração, GitHub precisará ajudar na migração. Para obter mais informações, confira Como migrar quando os valores douserName
SCIM normalizado forem ser alterados.
- Se os valores do
-
Não remova nenhum usuário ou grupo do aplicativo para Enterprise Managed Users no sistema de gerenciamento de identidades até que a migração seja concluída.
-
O GitHub Enterprise Cloud excluirá qualquer personal access tokens ou chaves SSH associadas às contas de usuário gerenciadas da empresa. Planeje uma janela de migração após a reconfiguração, durante a qual você poderá criar e fornecer novas credenciais para quaisquer integrações externas.
-
O GitHub Enterprise Cloud removerá as conexões entre equipes do GitHub e do IdP e não restabelecerá as conexões após a migração. O GitHub também removerá todos os membros da equipe e desconectará a equipe do IdP. Você pode sofrer interrupções se usar os grupos no sistema de gerenciamento de identidades para gerenciar o acesso a organizações ou licenças. O GitHub recomenda usar a API REST para listar conexões de equipe e associação de grupo antes de migrar e restabelecer conexões posteriormente. Para saber mais, confira Pontos de extremidade de API REST para grupos externos na documentação da API REST.
Migrar para um novo IdP ou locatário
Conclua as tarefas a seguir para migrar para um novo IdP ou locatário.
- Valide os atributos SCIM
userName
correspondentes. - Faça download de códigos de recuperação de logon único.
- Desabilite o provisionamento no IdP atual.
- Desabilite a autenticação e o provisionamento da empresa.
- Valide a suspensão dos membros da empresa.
- Reconfigure a autenticação e o provisionamento.
1. Valide os atributos SCIM userName
correspondentes
Para uma migração íntegra, verifique se o atributo SCIM userName
no novo provedor SCIM corresponde ao atributo no provedor SCIM antigo. Se esses atributos não corresponderem, confira Como migrar quando os valores SCIM userName
normalizados serão alterados.
2. Faça download de códigos de recuperação de logon único
Se você ainda não tiver códigos de recuperação de logon único para sua empresa, baixe os códigos agora. Para saber mais, confira Como fazer o download dos códigos de recuperação de logon único da conta empresarial.
3. Desabilite o provisionamento no IdP atual
- No IdP atual, desabilite o provisionamento no aplicativo para Enterprise Managed Users.
- Se você usa o Entra ID, navegue até a guia "Provisionamento" do aplicativo e clique em Parar provisionamento.
- Se você usar o Okta, navegue até a guia "Provisionamento" do aplicativo, clique na guia Integração e clique em Editar. Desmarque Habilitar integração de API.
- Se você usa o PingFederate, navegue até as configurações de canal no aplicativo. Na guia Ativação e Resumo, clique em Ativo ou Inativo para alternar o status de provisionamento e clique em Salvar. Para obter mais informações sobre como gerenciar o provisionamento, confira Como revisar configurações de canal e Gerenciar canais na documentação do PingFederate.
- Se você usar outro sistema de gerenciamento de identidades, consulte a documentação, a equipe de suporte ou outros recursos do sistema.
4. Desabilite a autenticação e o provisionamento da empresa
- Use um código de recuperação para entrar em GitHub como o usuário de instalação, cujo nome de usuário é o código abreviado da sua empresa com o sufixo
_admin
. Para saber mais sobre o usuário de configuração, confira Introdução aos Enterprise Managed Users. - Desabilite a autenticação e o provisionamento da empresa. Para saber mais, confira Desabilitar a autenticação e o provisionamento em Enterprise Managed Users.
- Aguarde até uma hora para que o GitHub Enterprise Cloud restaure os registros SCIM da empresa e suspenda os membros da empresa.
5. Valide a suspensão dos membros da empresa
Depois de desabilitar a autenticação e o provisionamento, o GitHub Enterprise Cloud suspenderá todas as contas de usuário gerenciadas da empresa. Você pode validar a suspensão dos membros da empresa usando a interface do usuário da Web.
-
Exiba os membros suspensos da empresa. Para saber mais, confira Visualizar pessoas na sua empresa.
-
Se todos os membros da empresa ainda não estiverem suspensos, aguarde e revise os logs no provedor SCIM.
- Se você usar o Entra ID, a suspensão dos membros pode levar até 40 minutos. Para agilizar o processo para um usuário individual, clique no botão Provisionar sob Demanda na guia "Provisionamento" do aplicativo para Enterprise Managed Users.
6. Reconfigure a autenticação e o provisionamento
Depois de validar a suspensão dos membros, reconfigure a autenticação e o provisionamento.
- Configure a autenticação usando SAML ou SSO do OIDC. Para saber mais, confira Configurar a autenticação para usuários empresariais gerenciados.
- Configure o provisionamento do SCIM. Para saber mais, confira Configurando o provisionamento do SCIM para Usuários Gerenciados da Empresa.
Para cancelar suspensão das contas de usuário gerenciadas e permitir que elas iniciem a sessão no GitHub Enterprise Cloud, seu provedor SCIM deve reprovisionar as contas.
Como migrar quando os valores do userName
SCIM normalizado forem ser alterados
Se os valores de userName
SCIM normalizado forem ser alterados, GitHub precisará provisionar uma nova conta corporativa para sua migração. Entre em contato com nossa equipe de vendas para obter ajuda.